[发明专利]用于防护网站的方法和装置

说明书

技术领域

本申请涉及网络安全技术领域，具体涉及网站安全技术领域，尤其涉及用于防护网站的方法和装置。

背景技术

随着信息技术的发展，Web服务称为互联网产业的重要载体，当前暴露的Web安全隐患也层出不穷，如何保护Web服务不受攻击成为安全领域研究的热点。传统的网络安全设备如防火墙(Firewall)、入侵检测系统(Intrusion Detection System，IDS)、入侵防御系统(Intrusion Prevention System，IPS)等，但都是基于包过滤的方法，其防御的侧重点和深度各不相同，很难对基于应用层面的web服务进行有效防护。因此，人们提出了一种基于网络应用层的Web应用防火墙(Web Application Firewall，WAF)，通过为网站部署安全规则，对进出Web服务器的数据进行检查，从而实现对网站的防护。但其部署的安全规则通常基于已知的漏洞和威胁，尽量全面的将这些已知的漏洞和威胁对应的安全规则部署到网站上。

这种情况存在的问题主要有：有些网站并不存在某些漏洞或威胁，针对这些漏洞或威胁的安全规则不能起到防护作用，反而浪费网站资源。

发明内容

本申请的目的在于提出一种用于防护网站的方法和装置，来解决以上背景技术部分提到的技术问题。

第一方面，本申请提供了一种用于防护网站的方法，所述方法包括：获取待防护网站的指纹信息；从预设的安全规则库中选取与所述指纹信息匹配的安全规则；将所选取的安全规则部署到所述待防护网站上，运行所述所选取的安全规则，并利用所述所选取的安全规则检测对所述待防护网站的请求。

在一些实施例中，所述方法还包括：利用所述所选取的安全规则检测对所述待防护网站的请求过程中，生成安全防护日志；对所述安全防护日志进行数据挖掘，确定对所述待防护网站的恶意请求。

在一些实施例中，所述对所述安全防护日志进行数据挖掘，确定对所述待防护网站的恶意请求，包括：提取所述安全防护日志中的特征信息，所述特征信息包括以下至少一项：发送所述请求的终端的标识、所述请求的消息头、所述请求的消息体、所述请求的大小；利用提取的特征信息训练预设的检测模型；利用训练好的检测模型检测对所述待防护网站的请求，确定对所述待防护网站的恶意请求。

在一些实施例中，所述方法还包括：获取对网站的历史恶意请求信息，所述历史恶意请求信息包括以下至少一项：历史恶意请求的形式、发送所述历史恶意请求的终端标识；对确定的恶意请求的信息与所述历史恶意请求信息进行比较分析，所述恶意请求的信息包括以下至少一项：确定的恶意请求的形式、发送所述确定的恶意请求的终端标识；当所述确定的恶意请求的形式与所述历史恶意请求的形式相同和/或发送所述确定的恶意请求的终端标识与所述发送所述历史恶意请求的终端标识满足预设条件时，确定所述确定的恶意请求与所述历史恶意请求关联。

在一些实施例中，所述方法还包括：确定用于防御与所述确定的恶意请求关联的历史恶意请求的历史安全规则；利用机器学习算法学习所述历史安全规则的防御特征；基于所述防御特征，生成用于防护所述确定的恶意请求的补充安全规则。

在一些实施例中，所述方法还包括：利用所述安全防护日志对所述补充安全规则进行验证；确定所述补充安全规则满足预设条件后，将所述补充安全规则加入所述预设的安全规则库。

在一些实施例中，所述方法还包括：确定所述补充安全规则满足预设条件后，将所述补充安全规则部署到所述待防护网站上，并运行所述补充安全规则。

第二方面，本申请提供了一种用于防护网站的装置，所述装置包括：第一获取单元，用于获取待防护网站的指纹信息；匹配单元，用于从预设的安全规则库中选取与所述指纹信息匹配的安全规则；第一部署单元，用于将所选取的安全规则部署到所述待防护网站上，运行所述所选取的安全规则，并利用所述所选取的安全规则检测对所述待防护网站的请求。

在一些实施例中，所述装置还包括：日志生成单元，用于利用所述所选取的安全规则检测对所述待防护网站的请求过程中，生成安全防护日志；数据挖掘单元，用于对所述安全防护日志进行数据挖掘，确定对所述待防护网站的恶意请求。